What’s New in Security for Windows XP Professional and ... · Web viewWenn Sie beispielsweise das...

Betriebssystem

Neuigkeiten bei der Sicherheit von Windows XP Professional und Windows XP Home EditionVon Michael Kessler und den Windows Security WritersMicrosoft CorporationVeröffentlicht: Juli 2001

Zusammenfassung

Dieser Artikel enthält eine technische Übersicht über die Neuigkeiten bei der Sicherheit und den Diensten zur Datensicherheit in Windows® XP. Windows XP ist in zwei Editions verfügbar: Windows XP Home Edition für die private Verwendung und Windows XP Professional für Unternehmen aller Größen.

Wenn Sie Windows XP als Betriebssystem auf einem eigenständigen Computer oder einem Computer verwenden möchten, der zu einer Arbeitsgruppe gehört, wird Sie speziell die schnelle Benutzerumschaltung und der Internetverbindungsfirewall interessieren, und falls Sie Windows XP Professional als Teil einer Domäne verwalten, möchten Sie sicher gerne die Neuigkeiten beim Steuern des Netzwerkzugriffs und beim Festlegen von Richtlinien für Softwareeinschränkung kennenlernen.

Dies ist ein vorläufiges Dokument und kann vor der endgültigen Herausgabe der beschriebenen Software noch wesentlich geändert werden. Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren.Dieses Whitepaper dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESES DOKUMENT JEDE GEWÄHRLEISTUNG AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT.Die Benutzer sind verantwortlich für das Einhalten aller anwendbaren Urheberrechtsgesetze. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.

© 2001 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, ActiveX, Active Directory, Authenticode, IntelliMirror, MSN, Visual Basic, Windows und Windows NT sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern.Andere in diesem Dokument genannte Produkt- oder Firmennamen können Marken der jeweiligen Eigentümer sein.Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA

Inhalt

Einführung........................................................................................................................................................ 5

Windows XP Home Edition 5

Windows XP Professional 5

Neuigkeiten bei der Sicherheit von Windows XP Home Edition..................................................................7

Persönlich angepasste Anmeldung 7

Schnelle Benutzerumschaltung bei mehreren Benutzern eines Computers 7

Persönliche Datensicherheit 8

Cookieverwaltung 9

Gemeinsame Nutzung der Internetverbindung 10

Funktionsweise der gemeinsamen Nutzung der Internetverbindung 10

Verwendung von Netzwerkprotokollen 11

Remotefunktionalität zur Ermittlung und Steuerung 11

Internetverbindungsfirewall 12

Erhöhter Sicherheitsbedarf 12

Funktionsweise des Internetverbindungsfirewalls 13

Einfache Aktivierung des Firewallschutzes 13

Portzuordnung 14

Ordner "Gemeinsame Dokumente" 14

Neuigkeiten bei der Sicherheit von Windows XP Professional..................................................................16

Unternehmenssicherheit 16

Sicherheitserweiterungen 16

Gesteuerter Netzwerkzugriff 17

Verwalten der Netzwerkauthentifizierung 17

Einfache Freigabe 17

Erzwingen des Gastkontos 17

Einschränkung für leere Kennwörter 18

Verschlüsselndes Dateisystem (Encrypting File System, EFS) 18

Neuigkeiten bei der Sicherheit von Windows XP 2

EFS-Architektur 18

EFS und NTFS 19

Gewährleisten der Dateivertraulichkeit 19

Funktionsweise von EFS 20

Konfigurieren von EFS für Ihre Umgebung 20

Folgendes kann verschlüsselt werden 21

Verschlüsseln von Offlinedateien 21

Verschlüsseln der Offlinedatei-Datenbank 21

EFS-Remotevorgänge im Zusammenhang mit Dateifreigaben und Webordnern 23

EFS-Remotevorgänge in einer Webordnerumgebung 23

Zertifikatsdienste 24

Speicherung von Zertifikaten und öffentlichen Schlüsseln 24

Speicherung privater Schlüssel 24

Automatische Registrierung von Benutzerzertifikaten 25

Anmeldeinformationsverwaltung 26

Eingabeaufforderungen zu Anmeldeinformationen 26

Gespeicherte Benutzernamen und Kennwörter 27

Schlüsselsammlung 30

Schnelle Benutzerumschaltung 30

Persönliche Datensicherheit 31

Gemeinsame Nutzung der Internetverbindung 31

Standortbezogene Gruppenrichtlinien der gemeinsamen Nutzung der Internetverbindung 31

Internetverbindungsfirewall 31

Standortbezogene Gruppenrichtlinien des Internetverbindungsfirewalls 31

Funktionsweise des Internetverbindungsfirewalls 32

Sicherheitsbezogene Gruppenrichtlinieneinstellungen 32

Richtlinien für Softwareeinschränkung 32

Verwenden von Richtlinien für Softwareeinschränkung 33

Erstellen einer Richtlinie für Softwareeinschränkung 33

Zwei Arten von Richtlinien für Softwareeinschränkung 33

Regeln zur Softwareidentifikation 35

Steuern digital signierter Software 35


Internet Protocol Security (IPSec) 36

Begründung für den Bedarf an IPSec 36

Funktionsweise von IPSec zur Abwehr von Netzwerkangriffen 37

Kryptografiemechanismen 38

Funktionsweise von IPSec 38

Smartcardunterstützung 39

PIN statt Kennwort 39

Smartcardstandards 39

Anmelden mit einer Smartcard 40

Smartcards für Verwaltungszwecke 40

Kerberos Version 5-Authentifizierungsprotokoll 41

Voraussetzung für Kerberos 41

Authentifizierer 41

Kerberos Key Distribution Center-Dienst 42

Zusammenfassung......................................................................................................................................... 43

Verwandte Links............................................................................................................................................... 44


EinführungWindows® XP stellt die bisher zuverlässigste Version von Windows dar, mit den besten Sicherheits- und Datenschutzfunktionen, die in Windows je zu finden waren. Die Sicherheit wurde in Windows XP insgesamt verbessert, so dass Sie mit dem Computer sicher, geschützt und vertraulich arbeiten können. Windows XP ist in zwei Editions verfügbar: Windows XP Home Edition für die private Verwendung und Windows XP Professional für Unternehmen aller Größen.

Die Sicherheitsfunktionen in Windows XP Home Edition machen das Einkaufen und Browsen im Internet zu einer sicheren Angelegenheit. Windows XP Home Edition enthält einen integrierten Internetverbindungsfirewall, der bei Verbindungen mit dem Internet für einen undurchdringlichen Schutz vor Sicherheitsgefahren sorgt, insbesondere dann, wenn Sie Standleitungen über Kabel- oder DSL-Modems verwenden.

Windows XP Professional verfügt über alle Sicherheitsfunktionen von Windows XP Home Edition und zusätzlich über weitere Funktionen zur Sicherheitsverwaltung. Diese entscheidenden neuen Sicherheitsfunktionen werden Ihre IT-Kosten reduzieren und die Sicherheit Ihrer Geschäftssysteme erhöhen.

Windows XP Home Edition Persönlich angepasste Anmeldun g

Schnelle Benutzerumschaltung

Persönliche Datensicherheit

Internetverbindungsfirewall

Ordner "Gemeinsame Dokumente"

Windows XP Professional Unternehmenssicherheit

Gesteuerter Netzwerkzugriff

Einfache Freig abe

Einschränkung für leere Kennwörter

Verschlüsselndes Dateisystem

Zertifikatdiens te

Anmeldeinformationsverwalt ung

Schnelle Benutzerumschaltung

Persönliche Datensicherheit

Gemeinsame Internetverbindung


Internetverbindungsfirewall

Richtlinien für Softwareeinschränkung

Internet Protocol Security (IPSec)

Smartcardunterst ützung

Kerberos


Neuigkeiten bei der Sicherheit von Windows XP Home EditionDie Sicherheitsdienste von Windows XP Home Edition wurden flexibel gestaltet und berücksichtigen eine Vielzahl von Sicherheits- und Vertraulichkeitssituationen, denen Sie als privater Benutzer gegenüberstehen werden. Wenn Sie bereits mit dem Sicherheitsmodell von Microsoft® Windows NT®, Version 4.0, und Microsoft® Windows® 2000 vertraut sind, erkennen Sie viele der Sicherheitsfunktionen in Windows XP Home Edition wieder. Gleichzeitig finden Sie auch einige bekannte Funktionen, die sich erheblich geändert haben, neben neuen Funktionen, die Ihre Möglichkeiten zum Verwalten der Systemsicherheit verbessern werden.

Wenn Sie beispielsweise das Internet für Onlinechats oder zum Senden und Empfangen von E-Mail verwenden, sind sie möglicherweise Angriffen von Hackern ausgesetzt. Um Sie vor diesen Gefahren zu schützen, verfügt Windows XP über integrierte erweiterte Sicherheitsfunktionen, die Ihre Onlineaktivitäten wesentlich sicherer machen.

Werfen wir einen Blick auf die entscheidenden Sicherheits- und Vertraulichkeitsfunktionen von Windows XP Home Edition, die Sie und Ihre Informationen besser schützen, während Ihre Arbeit mit Windows produktiver wird als je zuvor.

Beachten Sie Folgendes: Wenn Sie mit Windows XP Home Edition als Teil einer Arbeitsgruppe oder in einer eigenständigen Umgebung arbeiten und über Administratorrechte für den Computer verfügen, haben Sie Zugriff auf alle Sicherheitsfunktionen des Betriebssystems. Falls der Computer, auf dem Windows XP Home Edition installiert ist, zu einem Netzwerk gehört, werden die Sicherheitsoptionen vom Netzwerkadministrator bestimmt.

Persönlich angepasste AnmeldungBei Windows XP können alle Familienmitglieder eine komplette eigene Benutzeroberfläche besitzen, einschließlich Anmeldung und Kennwort. Diese zusätzliche Sicherheitsebene gewährleistet, dass niemand auf wichtige Dokumente zugreifen oder diese versehentlich löschen kann.

Falls Kinder zum Haushalt gehören, können Sie Profile mit verschiedenen Sicherheitsbeschränkungen einrichten. Auf diese Weise können Sie Internetsites ausschließen, die für die Kinder ungeeignet wären.

Schnelle Benutzerumschaltung bei mehreren Benutzern eines ComputersDie schnelle Benutzerumschaltung wurde für Heimcomputer entwickelt, damit jeder Benutzer einen einzelnen Computer so verwenden kann, als wäre er sein eigener. Ein Mitbenutzer muss nicht abgemeldet werden, und Überlegungen, ob fremde Dateien gespeichert werden müssen, entfallen. Stattdessen führt Windows XP mithilfe der Terminaldienstetechnologie eindeutige Benutzersitzungen aus, wodurch die Daten der einzelnen Benutzer vollständig voneinander getrennt bleiben. Und wenn ein Benutzerkennwort verwendet wird, werden diese Sitzungen auch separat geschützt.

Die schnelle Benutzerumschaltung wird standardmäßig bei der Installation von Windows XP Home Edition oder Windows XP Professional auf einem eigenständigen oder Arbeitsgruppencomputer aktiviert. Wenn Sie mit einem Computer, auf dem Windows XP Professional ausgeführt wird, einer Domäne beitreten, ist die schnelle Benutzerumschaltung nicht verfügbar.


Die schnelle Benutzerumschaltung macht es Familien leichter, einen einzelnen Computer gemeinsam zu nutzen. Wenn beispielsweise eine Mutter mit dem Computer die Finanzen verwaltet und diese Arbeit kurz unterbrechen muss, kann ihr Sohn in sein eigenes Konto umschalten und ein Spiel ausführen. Die Finanzanwendung bleibt im Konto der Mutter geöffnet und wird weiter ausgeführt. Für diesen Vorgang ist keine Abmeldung erforderlich. Die Benutzerumschaltung geht ganz einfach, denn die neue Willkommensseite kann problemlos mit Bildern für jeden Benutzer angepasst werden, der sich am Computer anmeldet, wie in Abbildung 1 dargestellt.

Abbildung 1 Willkommensseite der persönlich angepassten Anmeldung und schnellen Benutzerumschaltung

Persönliche DatensicherheitMicrosoft Internet Explorer, Version 6.0, unterstützt den Standard P3P (Platform for Privacy Preferences) des World Wide Web Consortium (W3C), um Ihnen dabei zu helfen, beim Besuch von Websites die Kontrolle über Ihre persönlichen Informationen zu behalten. Als Teilnehmer des W3C arbeitete Microsoft mit an der Entwicklung eines Standards zu Datenschutzrichtlinien für Websites, damit Sie die Möglichkeit haben, überlegte Entscheidungen zur Menge und Art der online offengelegten Informationen zu treffen. Internet Explorer 6.0 ermittelt, ob die besuchten Websites, den Standards des W3C entsprechen und teilt Ihnen deren Status mit, bevor Sie private Informationen übermitteln.

Nachdem Sie in Internet Explorer 6.0 die Datenschutzeinstellungen für die Weitergabe persönlicher Informationen definiert haben, ermittelt der Browser, ob die von Ihnen besuchten Websites dem Standard P3P entsprechen. Bei Sites, die P3P entsprechen, vergleicht der Browser Ihre Datenschutzeinstellungen mit den für die Site definierten Datenschutzrichtlinien. Für diesen Austausch von Richtlinieninformationen verwendet Internet Explorer HTTP. Anhand Ihrer Datenschutzeinstellungen ermittelt der Browser, ob persönliche Informationen an die Websites weitergegeben werden dürfen.


CookieverwaltungAuch die Funktionen zur Cookieverwaltung in Internet Explorer 6.0 werden vom Standard P3P unterstützt. Ein Cookie ist eine kleine Datei, die von einer bestimmten Website zur Bereitstellung von angepassten Merkmalen auf Ihrem Computer gespeichert wird. Wenn Sie beispielsweise benutzerdefinierte Einstellungen für MSN® implementieren, werden diese Informationen in einer Cookiedatei auf Ihrem Computer gespeichert. MSN liest das Cookie dann jedes Mal, wenn sie die Site besuchen, und zeigt die von Ihnen ausgewählten Optionen an.

P3P-Websites können ihren Cookies im Rahmen ihrer Datenschutzrichtlinien Richtlinieninformationen bereitstellen. Beim Konfigurieren von Datenschutzeinstellungen können Sie in Internet Explorer folgende Cookiebehandlung festlegen:

Kein Cookie darf auf dem Computer gespeichert werden.

Cookies von Drittanbietern werden abgelehnt, d. h. Cookies, die nicht von derselben Domäne wie die besuchte Website stammen und deshalb nicht unter die Datenschutzrichtlinie dieser Website fallen. Alle anderen Cookies werden jedoch auf dem Computer gespeichert.

Alle Cookies werden ohne Benachrichtigung an Sie auf dem Computer gespeichert.

In Abbildung 2 und 3 sehen Sie weitere Optionen zur Cookieverwaltung.


Abbildung 2 Cookieverwaltung: Datenschutzaktionen pro Site

Abbildung 3 Cookieverwaltung: Erweiterte Datenschutzeinstellungen

Weitere Informationen zu P3P finden Sie in der W3C-Website unter http://www.w3.org/.

Gemeinsame Nutzung der InternetverbindungMithilfe der gemeinsamen Nutzung der Internetverbindung (Internet Connection Sharing, ICS) können mehrere Computer über eine einzige Internetverbindung auf das Internet zugreifen. Verbindungen per DSL, Kabelmodem oder Telefonleitung können auf sichere Weise von Benutzern auf mehreren Computern gemeinsam genutzt werden.

Funktionsweise der gemeinsamen Nutzung der InternetverbindungEin Computer, der ICS-Hostcomputer (Internet Connection Sharing, gemeinsame Nutzung der Internetverbindung), ist direkt mit dem Internet verbunden und stellt seine Verbindung den übrigen Computern im Netzwerk zur Verfügung. Die Clientcomputer können nur über den ICS-Hostcomputer auf das Internet zugreifen. Die Verwendung einer gemeinsam genutzten Internetverbindung erhöht die Sicherheit des Netzwerkes, da nur der ICS-Hostcomputer für das Internet sichtbar ist. Die gesamte Kommunikation zwischen den Clientcomputern und dem Internet läuft über den ICS-Host. Dadurch erscheinen die Adressen der Clientcomputer nicht im Internet. Die Clientcomputer sind geschützt, da sie von außerhalb des Netzwerkes nicht sichtbar sind. Lediglich der Computer mit der gemeinsam genutzten Internetverbindung ist öffentlich sichtbar. Der ICS-Hostcomputer verwaltet außerdem die Netzwerkadressierung. Der ICS-Hostcomputer weist sich selbst eine permanente Adresse zu und stellt den ICS-Clients DHCP (Dynamic Host Configuration Protocol) zur Verfügung. Dabei wird jedem ICS-Client eine eindeutige Adresse zugewiesen, so dass Computer mit anderen Computern im Netzwerk kommunizieren können.

Über die ICS-Funktion ermöglicht Windows XP die gemeinsame Nutzung einer einzigen Internetverbindung von mehreren Computern in Heim- oder kleinen Büronetzwerken. Diese Funktion war bereits in


http://www.w3.org/

Windows 2000 Professional und Windows 98 Second Edition enthalten und wurde in Windows XP weiter verbessert.

Verwendung von NetzwerkprotokollenDie ICS-Funktion in Windows XP stellt für Heimnetzwerke die Netzwerkadressübersetzung (Network Address Translation, NAT), DHCP (Dynamic Host Configuration Protocol) und DNS (Domain Name Service) bereit. Der Benutzer muss somit keine Clients mehr konfigurieren.

Die DNS-Funktionalität in Windows XP wurde verbessert und enthält eine lokalen DNS-Auflösung, die die Namensauflösung für alle Clients des Heimnetzwerks ausführt. Mithilfe der DNS-Auflösung können auch nicht auf Windows basierende Netzwerkgeräte die Namensauflösung für Netzwerkclients übernehmen. Internetnamen, die eine Auflösung erfordern, werden weiterhin zur Auflösung an die DNS-Server des Internetdienstanbieters weitergeleitet.

Remotefunktionalität zur Ermittlung und SteuerungDie gemeinsame Nutzung der Internetverbindung beinhaltet auch die Remotefunktionalität zur Ermittlung und Steuerung. Mithilfe von universellem Plug & Play erkennen Netzwerkclients, ob der ICS-Hosts vorhanden ist und ermitteln dann seinen Internetverbindungsstatus.

Wenn Sie das Internet über einen anderen persönlichen Computer des Heimnetzwerkes durchsuchen möchten, stellt der Windows XP-Computer automatisch für diesen anderen persönlichen Computer die Verbindung zum Internet her, falls die Verbindung nicht bereits besteht. Oder der Benutzer des Clientcomputers in einem anderen Raum des Hauses weiß, ob eine Internetverbindung besteht und kann sie gegebenenfalls unterbrechen, um das Telefon für herkömmliche Telefongespräche zu verwenden. Diese Funktionen sind nützlich, wenn DFÜ-Verbindungen minutenweise abgerechnet werden oder wenn Sie die Internetverbindung unterbrechen möchten, falls keine Aktivität stattfindet.

In Abbildung 4 sehen Sie die Optionen zum Einrichten der gemeinsamen Nutzung der Internetverbindung.


Abbildung 4 Einrichten der gemeinsamen Nutzung der Internetverbindung

InternetverbindungsfirewallWindows® XP stellt mit dem neuen Internetverbindungsfirewall die Sicherheit im Internet bereit. Unternehmensnetzwerke werden bereits seit Jahren mithilfe von Firewalls vor Angriffen von außen geschützt. Windows XP bietet mit der Schutzfunktion des Internetverbindungsfirewalls privaten Benutzern nun dieselbe Sicherheit. Auf diese Weise werden Ihre Informationen, Computer und die Daten Ihrer Familie vor Fremden geschützt, sobald Sie Windows XP verwenden.

Erhöhter SicherheitsbedarfDa immer mehr Haushalte und Unternehmen Breitband-Internetverbindungen nutzen, steigt der Bedarf an Sicherheitsmaßnahmen, mit denen persönliche Computer, sonstige Geräte und die mit diesen Heimnetzwerken verbundenen Inhalte geschützt werden können. Selbst Computer, die über DFÜ-Modems die Verbindung zum Internet herstellen, sind nicht vor Angriffen sicher.

Der Internetverbindungsfirewall wurde für Heim- und kleine Büronetzwerke zum Schutz des direkt mit dem Internet verbundenen persönlichen Windows XP-Computers entwickelt sowie für den Schutz von Computern oder Geräten, die mit dem Hostcomputer verbunden sind, auf denen die gemeinsame Nutzung der Internetverbindung ausgeführt wird.


Funktionsweise des InternetverbindungsfirewallsDer Internetverbindungsfirewall von Windows XP verwendet eine aktive Paketfilterung, was bedeutet, dass Ports an der Firewall nur so lange dynamisch geöffnet werden, wie es für den Zugriff auf die gewünschten Dienste erforderlich ist. Diese Art von Firewalltechnologie, die in der Regel bei komplexen Unternehmensfirewalls eingesetzt wird, verhindert, dass potenzielle Hacker die Anschlüsse und Ressourcen Ihres Computers, einschließlich der Datei- und Druckerfreigaben, durchsuchen können. Die Gefahr durch Angriffe von außen wird somit erheblich verringert. Der Internetverbindungsfirewall arbeitet auf Verbindungsbasis.

Diese Firewallfunktion ist für LAN- (Local Area Networks, lokale Netzwerke), PPPoE- (Point-to-Point Protocol over Ethernet, Point-To-Point-Protokoll über Ethernet-Protokolle), VPN- (Virtuelles privates Netzwerk) und DFÜ-Verbindungen verfügbar. PPPoE ist ein neuer IETF-Standard. Mit ihm sind Breitbandverbindungen über Kabelmodem oder DSL (Digital Subscriber Line) so einfach herzustellen wie über DFÜ-Modem. Windows XP ist das erste Windows-Betriebssystem, das eine systemeigene PPPoE-Unterstützung enthält.

Wenn Sie mit dem tragbaren Computer unterwegs sind und über eine DFÜ-Verbindung oder auf andere Weise auf das Internet zugreifen, kann der Internetverbindungsfirewall zur Sicherheit automatisch aktiviert werden.

Einfache Aktivierung des FirewallschutzesBeim Ausführen des Netzwerkinstallations-Assistenten wird der Internetverbindungsfirewall für jede festgestellte aktive Internetverbindung aktiviert. So können Sie überprüfen, ob eine Verbindung den Internetverbindungsfirewall verwendet

Öffnen Sie Systemsteuerung.

Klicken Sie auf Netzwerk- und Internetverbindungen.

Klicken Sie auf Netzwerkverbindungen.

Klicken Sie mit der rechten Maustaste auf die Internetverbindung, und klicken Sie dann auf Eigenschaften.

Klicken Sie im Dialogfeld Eigenschaften Ihrer Verbindung auf die Registerkarte Erweitert.

In Abbildung 5 sehen Sie, wie der Internetverbindungsfirewall aktiviert wird.


Abbildung 5 Aktivierung des Internetverbindungsfirewalls

PortzuordnungStandardmäßig leitet der Internetverbindungsfirewall unaufgefordert eingehenden Datenverkehr nicht weiter. Falls Sie anderen Personen den Zugriff auf den Computer über das Internet ermöglichen müssen, z. B. beim Hosting einer Website oder bei einer Internetsitzung eines Computerspiels, können in Windows XP Pforten im Firewall geöffnet werden, die den Datenverkehr über bestimmte Ports erlauben. Dieser Vorgang wird "Portzuordnung" genannt.

Ordner "Gemeinsame Dokumente"Freigegebene Ordner sind die Gegenstücke zu Ihren persönlichen Ordnern: Eigene Dateien, Eigene Bilder und Eigene Musik. Gemeinsame Dokumente, Gemeinsame Bilder und Gemeinsame Musik bieten Ihnen die Möglichkeit, Dateien, Bilder und Musik so zu speichern, dass jeder Benutzer Ihres Computers darauf zugreifen kann. So kann z. B. Frank seine Hausarbeiten unter Gemeinsame Dokumente speichern, so dass sie von seiner Mutter überprüft werden können. Sein Vater kann digitale Bilder aus dem Familienurlaub unter Gemeinsame Bilder ablegen, so dass jedes Familienmitglied die Bilder ansehen kann.

Da es sich bei Heimcomputern in der Regel um vertrauenswürdige Umgebungen handelt, werden die Dateien der Benutzer hier von Windows XP standardmäßig getrennt, jedoch zugänglich gespeichert. Dadurch kann


eine Familie problemlos Dokumente, Bilder, Musik und Videos auf einem einzigen Computer und auf mehreren Computern in einem Heimnetzwerk gemeinsam nutzen.

Wenn Sie jedoch ein Kennwort für sich erstellen, können Sie den Ordner Eigene Dokumente und alle Unterordner sperren. Auf diese Weise sind ihre Dateien, falls Sie ein Kennwort besitzen und Datenschutz wünschen, vor dem Zugriff von Benutzern des Computers geschützt, die nicht über Administratorrechte verfügten.

Anmerkung: Dies trifft nur auf NTFS-Festplatten zu. Diese Funktion funktioniert nicht, wenn Sie die Festplatte mit FAT (File Allocation Table) oder FAT32 formatiert haben.


Neuigkeiten bei der Sicherheit von Windows XP ProfessionalWindows XP Professional wird von Unternehmen aller Größen als Betriebssystem verwendet. Es bietet die zuverlässigsten Sicherheitsdienste für Geschäftscomputer. Windows XP Professional enthält die Sicherheitsfunktionen, die Sie für das Netzwerk und die Sicherheit im Unternehmen benötigen. Diese Sicherheitsfunktionen bieten neue Verwaltungsfunktionen, die IT-Kosten senken und Ihnen mehr Zeit für den Aufbau von Diensten und Lösungen in Ihrem Unternehmen einräumen.

Wenn Sie bereits mit dem Sicherheitsmodell von Microsoft® Windows NT® 4.0, und Microsoft® Windows® 2000 vertraut sind, werden Sie viele der Sicherheitsfunktionen in Windows XP Professional wieder erkennen. Gleichzeitig finden Sie auch einige bekannte Funktionen, die sich erheblich geändert haben, neben neuen Funktionen, die Ihre Möglichkeiten zum Verwalten der Systemsicherheit verbessern werden.

Beachten Sie Folgendes: Wenn Sie mit Windows XP Professional als Teil einer Arbeitsgruppe oder in einer eigenständigen Umgebung arbeiten und über Administratorrechte für den Computer verfügen, haben Sie Zugriff auf alle Sicherheitsfunktionen des Betriebssystems. Wenn der Computer, auf dem Windows XP Professional ausgeführt wird, zu einer Domäne gehört, werden die Optionen durch die vom IT-Administrator festgelegten Richtlinien bestimmt.

UnternehmenssicherheitWindows XP Professional bietet zuverlässige Sicherheitsfunktionen, die dazu dienen, Unternehmen beim Schutz vertraulicher Daten zu helfen und die Verwaltung der Benutzer im Netzwerk zu unterstützen. Zu den entscheidenden Funktionen von Windows XP Professional gehört die Verwendung von Gruppenrichtlinienobjekten. Gruppenrichtlinienobjekte ermöglichen Systemadministratoren, ein einziges Sicherheitsprofil auf mehrere Computer anzuwenden und bei Bedarf die Authentifizierung von Benutzern mithilfe von Informationen auszuführen, die auf Smartcards gespeichert sind.

SicherheitserweiterungenIn Windows XP Professional sind eine Reihe von Funktionen enthalten, mit denen Unternehmen ausgewählte Dateien, Anwendungen und andere Ressourcen schützen können. Zu diesen Funktionen gehören Zugriffssteuerungslisten (Access Control Lists, ACLs), Sicherheitsgruppen und Gruppenrichtlinien. Dazu kommen Tools, mit denen Unternehmen diese Funktionen konfigurieren und verwalten können. Diese Kombination stellt eine leistungsstarke und flexible Infrastruktur zur Steuerung des Zugriffs für Unternehmensnetzwerke bereit.

Windows XP ermöglicht Tausende von Sicherheitseinstellungen, die individuell implementiert werden können. Darüber hinaus verfügt das Betriebssystem Windows XP über vordefinierte Sicherheitsvorlagen, die Unternehmen ohne Änderungen implementieren oder als Basis für weiter angepasste Sicherheitskonfigurationen heranziehen können. Unternehmen können diese Sicherheitsvorlagen in den folgenden Fällen anwenden:

Zum Erstellen einer Ressource, wie einen Ordner oder eine Dateifreigabe, wobei die Standardeinstellungen der Zugriffssteuerungsliste übernommen oder benutzerdefinierte Einstellungen implementiert werden können.

Für die Aufnahme von Benutzern in Standardsicherheitsgruppen, wie Benutzer, Hauptbenutzer oder


Administratoren, wobei die Standardeinstellungen der Zugriffsliste für diese Sicherheitsgruppen übernommen werden.

Zur Verwendung der einfachen, kompatiblen, sicheren oder sehr sicheren Gruppenrichtlinienvorlagen des Betriebssystems.

Alle Sicherheitsfunktionen von Windows XP – Zugriffslisten, Sicherheitsgruppen und Gruppenrichtlinien – verfügen über Standardeinstellungen, die der jeweiligen Organisation entsprechend angepasst werden können. Unternehmen können die Zugriffssteuerung auch mithilfe der zugehörigen Tools implementieren oder ändern. Viele dieser Tools, wie die MMC-Snap-Ins (Microsoft Management Console), gehören zu den Komponenten von Windows XP Professional. Einige Tools sind im Windows XP Professional Resource Kit enthalten.

Gesteuerter NetzwerkzugriffMit der integrierten Sicherheit von Windows XP soll ein unbefugter Zugriff unterbunden werden. Deshalb erhält jede Person, die von einem Netzwerk aus auf Ihren Computer zugreifen möchte, lediglich Rechte als "Gast". Falls Unbefugte versuchen, Kennwörter zu erraten, um auf Ihren Computer zuzugreifen und unerlaubt Rechte zu erhalten, schlägt dieser Versuch fehl. Sie erhalten bestenfalls beschränkte Gastrechte.

Verwalten der NetzwerkauthentifizierungImmer mehr auf Windows XP Professional basierende Systeme sind nicht mehr mit Domänen, sondern direkt mit dem Internet verbunden. Dadurch wird eine sorgfältige Verwaltung der Zugriffssteuerung, einschließlich effizienter Kennwörter und Berechtigungen für unterschiedliche Konten, wichtiger als je zuvor. Die Gewährleistung der Sicherheit erfordert eine Einschränkung der relativ anonymen Einstellungen der Zugriffssteuerung, die normalerweise in offenen Internetumgebungen eingesetzt wurden.

Aus diesem Grund verlangt die Standardeinstellung von Windows XP Professional von allen Benutzern, die sich über das Internet anmelden, die Verwendung des Gastkontos. Mit dieser Änderung soll der Versuch von Hackern abgewehrt werden, vom Internet aus auf ein System zuzugreifen, indem sie sich über ein lokales Administratorkonto anmelden, das über kein Kennwort verfügt.

Einfache FreigabeStandardmäßig wird auf Systemen unter Windows XP Professional, die nicht mit einer Domäne verbunden sind, bei allen Anmeldeversuchen aus dem Netzwerk zwangsläufig das Gastkonto verwendet. Darüber hinaus wird das Dialogfeld Sicherheitseigenschaften bei Computern, die das Sicherheitsmodell der einfachen Freigabe verwenden, durch ein vereinfachtes Eigenschaftendialogfenster für Gemeinsame Dateien ersetzt.

Erzwingen des GastkontosDas Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten ermöglicht Ihnen die Wahl zwischen den Sicherheitsmodellen Klassisch und Nur Gast. Beim Modell Nur Gast wird bei allen Anmeldungen aus dem Netzwerk auf dem lokalen Computer zwangsläufig das Konto Gast verwendet. Beim Modell Klassisch, werden Benutzer, die sich aus dem Netzwerk am lokalen Computer anmelden, unter ihrer eigenen Identität authentifiziert. Diese Richtlinie wird nicht bei Computern angewendet, die einer Domäne angehören. Ansonsten ist Nur Gast standardmäßig aktiviert.


Wenn ein Gastkonto aktiviert ist und ein leeres Kennwort aufweist, ist die Anmeldung und der Zugriff auf jede Ressource möglich, für die der Zugriff über das Gastkonto autorisiert wurde.

Falls die Richtlinie Erzwingen von Netzwerkanmeldungen mithilfe lokaler Konten zur Authentifizierung als Gast aktiviert ist, müssen lokale Konten als Gast authentifiziert werden. Diese Richtlinie bestimmt, ob sich der Benutzer eines lokalen Kontos, der sich an einem Computer des Netzwerkes anmeldet, als Gast authentifizieren muss. Mit dieser Richtlinie können sie die Rechte eines lokalen Kontos beschränken, über das auf Systemressourcen des Zielcomputers zugegriffen wird. Wenn Sie diese Richtlinie aktivieren, werden alle lokalen Konten, die eine direkte Verbindung herstellen möchten, auf Gästerechte beschränkt. Diese Rechte sind in der Regel stark eingeschränkt.

Einschränkung für leere KennwörterZum Schutz von Benutzern, die ihre Konten nicht mit einem Kennwort versehen, kann in Windows XP Professional eine Anmeldung an Konten ohne Kennwort nur direkt an der Konsole des physischen Computers erfolgen. Standardmäßig können Konten mit leeren Kennwörtern nicht mehr für eine Remoteanmeldung an dem Computer oder für sonstige Anmeldeaktivitäten verwendet werden, außer über den Anmeldebildschirm der physischen Hauptkonsole. Sie können beispielsweise nicht den sekundären Anmeldedienst (RunAs) verwenden, um ein Programm als lokaler Benutzer mit einem leeren Kennwort zu starten.

Wenn Sie einem lokalen Konto ein Kennwort zuweisen, wird diese Einschränkung entfernt, die eine Anmeldung über ein Netzwerk verhindert. Außerdem kann dann mit dem Konto auch über eine Netzwerkverbindung auf jede Ressource zugegriffen werden, für die eine Autorisierung vorhanden ist.

Vorsicht Falls sich Ihr Computer nicht in einem sicheren Raum befindet, sollten Sie allen lokalen Benutzerkonten Kennwörter zuweisen. Falls das versäumt wird, kann sich jede Person mit Zutritt zu diesem Raum am Computer anmelden und ein Konto ohne Kennwort verwenden. Das trifft besonders auf tragbare Computer zu, die stets über wirksame Kennwörter für alle lokalen Benutzerkonten verfügen sollten.

Anmerkung: Diese Einschränkung trifft nicht auf Domänenkonten zu. Sie gilt auch nicht für lokale Gastkonten. Wenn ein Gastkonto aktiviert ist und ein leeres Kennwort aufweist, ist die Anmeldung und der Zugriff auf jede Ressource möglich, für die der Zugriff über das Gastkonto autorisiert wurde.

Falls Sie die Einschränkung zur Netzwerkanmeldung ohne Kennwort deaktivieren möchten, können Sie das über die lokale Sicherheitsrichtlinie tun.

Verschlüsselndes Dateisystem (Encrypting File System, EFS)Die Leistung von Windows® XP Professional wurde durch die zusätzlichen Funktionen des verschlüsselnden Dateisystems (Encrypting File System, EFS) erheblich verbessert. Benutzer in Unternehmen sind nun bei der Bereitstellung von Sicherheitslösungen, die auf verschlüsselten Datendateien beruhen, noch flexibler als zuvor.

EFS-ArchitekturEFS basiert auf der Verschlüsselung mit öffentlichem Schlüssel und nutzt die CryptoAPI-Architektur in Windows XP. Für die Standardkonfiguration von EFS sind keine Verwaltungsschritte erforderlich. Sie können


sofort mit dem Verschlüsseln von Dateien beginnen. EFS generiert für einen Benutzer automatisch ein Schlüsselpaar für die Verschlüsselung und ein Zertifikat, falls noch nicht vorhanden.

Als Verschlüsselungsalgorithmus kann in EFS entweder der erweiterte Datenverschlüsselungsstandard (Expanded Data Encryption Standard, DESX) oder Triple-DES (3DES) verwendet werden. Die Software RSA Base und RSA Enhanced, die Kryptografiedienstanbieter (Cryptographic Service Providers, CSPs) in das Betriebssystem aufgenommen haben, können für EFS-Zertifikate und für das Verschlüsseln symmetrischer Schlüssel verwendet werden.

Wenn Sie einen Ordner verschlüsseln, werden sämtliche in diesem Ordner erstellten oder hinzugefügten Dateien und Unterordner automatisch ebenfalls verschlüsselt. Sie sollten die Verschlüsselung auf Ordnerebene vornehmen, damit keine unverschlüsselten temporären Dateien während der Dateikonvertierung auf der Festplatte erstellt werden.

EFS und NTFSDas verschlüsselnde Dateisystem (Encrypting File System, EFS) schützt unter Verwendung des NTFS-Dateisystems vertrauliche Daten, die auf der Festplatte gespeichert sind. EFS ist die zentrale Technologie für das Ver- und Entschlüsseln von Dateien auf NTFS-Datenträgern. Nur der Benutzer, der eine geschützte Datei verschlüsselt, kann die Datei öffnen und mit ihr arbeiten. Dies ist besonders für Benutzer tragbarer Computer nützlich, da auch eine Person, die Zugriff auf einen verlorenen oder gestohlenen Laptop erhält, nicht auf Dateien der Festplatte zugreifen kann. Bei Windows XP funktioniert EFS jetzt mit Offlinedateien und -ordnern.

Mit EFS können Sie einzelne Dateien und Ordner verschlüsseln. Verschlüsselte Dateien bleiben auch dann vertraulich, wenn ein unbefugter Benutzer die Systemsicherheit, z. B. durch eine Neuinstallation des Betriebssystems, umgeht. Da EFS Algorithmen nach Industriestandard verwendet, stellt es eine zuverlässige Verschlüsselung bereit. Durch seine nahtlose Integration in NTFS ist es einfach zu bedienen. EFS für Windows® XP Professional bietet neue Optionen für die Freigabe verschlüsselter Dateien oder die Deaktivierung von Datenwiederherstellungs-Agenten, und es vereinfacht die Verwaltung mithilfe von Gruppenrichtlinien und Befehlszeilenprogrammen.

Gewährleisten der DateivertraulichkeitSicherheitsfunktionen, wie z. B. die Anmeldeauthentifizierung oder Dateiberechtigungen, schützen Netzwerkressourcen vor unbefugtem Zugriff. Doch kann jeder mit physischem Zugang zu einem Computer ein neues Betriebssystem installieren und so die vorhandenen Sicherheitseinstellungen des Betriebssystem umgehen. Auf diese Weise können vertrauliche Daten offengelegt werden. Das Verschlüsseln vertraulicher Dateien mit EFS fügt eine zusätzliche Sicherheitsebene hinzu. Die Daten verschlüsselter Dateien sind auch dann geschützt, wenn sich ein unbefugter Benutzer den vollen Zugriff auf den Datenspeicher des Computers verschafft hat.

Nur autorisierte Benutzer und designierte Datenwiederherstellungs-Agenten können verschlüsselte Dateien entschlüsseln. Andere Systemkonten, die über Berechtigungen für eine Datei verfügen, einschließlich der Berechtigung Besitz übernehmen, können die Datei nicht ohne Autorisierung öffnen. Die Datei kann selbst mit dem Administratorkonto nicht geöffnet werden, wenn dieses Konto nicht als Datenwiederherstellungs-Agent bestimmt wurde. Falls ein nicht autorisierter Benutzer versucht, eine verschlüsselte Datei zu öffnen, wird der Zugriff verweigert.

Abbildung 6 zeigt, wo die Einstellungen für EFS erstellt werden.


Abbildung 6 Lokale Sicherheitseinstellungen von EFS

Funktionsweise von EFSEFS ermöglicht es Ihnen, vertrauliche Informationen auf einen Computer zu speichern, wenn Personen mit physischem Zugang zu dem Computer diese Informationen beabsichtigt oder versehentlich manipulieren könnten. EFS eignet sich besonders zum Schutz vertraulicher Daten auf tragbaren Computern oder auf Computern, die von mehreren Benutzern verwendet werden. Diese beiden Systeme sind besonders anfällig für Techniken, mit denen die Beschränkungen durch Zugriffssteuerungslisten (Access Control Lists, ACLs) umgangen werden.

Durch Starten eines anderen Betriebssystems kann ein unbefugter Benutzer in einem freigegebenen System Zugriff auf das System erhalten. Ein unbefugter Benutzer könnte einen Computer auch stehlen, die Festplatte entfernen und in ein anderes System einsetzen und auf diese Weise auf die gespeicherten Dateien zugreifen. Mit EFS verschlüsselte Dateien werden jedoch in unleserlichen Zeichen angezeigt, sofern der unbefugte Benutzer nicht über den Entschlüsselungsschlüssel verfügt.

Da EFS nahtlos in NTFS integriert ist, sind Dateientschlüsselung und -verschlüsselung transparent. Wenn Sie eine Datei öffnen, wird sie beim Lesen der Daten von der Festplatte durch EFS entschlüsselt. Beim Speichern einer Datei verschlüsselt EFS die Daten, während sie auf die Festplatte geschrieben werden. Als autorisierter Benutzer werden Sie die Verschlüsselung der Dateien vermutlich kaum bemerken, da sie mit ihnen wie gewohnt arbeiten können.

In der Standardkonfiguration ermöglicht Ihnen EFS, mit dem Verschlüsseln von Dateien ohne Verwaltungsaufwand in Windows-Explorer zu beginnen. Aus Benutzersicht besteht das Verschlüsseln einer Datei ganz einfach im Festlegen eines Attributs. Das Verschlüsselungsattribut kann auch für einen Dateiordner festgelegt werden. Das bedeutet, dass jede im Ordner erstellte oder zu dem Ordner hinzugefügte Datei automatisch verschlüsselt wird.

Konfigurieren von EFS für Ihre UmgebungEFS wird standardmäßig aktiviert. Sie können Dateien verschlüsseln, wenn Sie über die Berechtigung zum Ändern der Dateien verfügen. Da EFS zum Verschüsseln von Dateien einen öffentlichen Schlüssel einsetzt, benötigen Sie ein Schlüsselpaar (einen öffentlichen und einen privaten Schlüssel) sowie ein Zertifikat für


öffentliche Schlüssel. EFS kann selbstsignierte Standardzertifikate verwenden. Deshalb ist für EFS kein Verwaltungsaufwand erforderlich.

Falls EFS in Ihrer Umgebung nicht benötigt wird oder Sie Dateien besitzen, die Sie nicht verschlüsseln möchten, gibt es verschiedene Möglichkeiten, EFS zu deaktivieren. Es gibt auch verschiedene Möglichkeiten, EFS so zu konfigurieren, dass es den speziellen Anforderungen Ihrer Organisation entspricht.

Für die Verwendung von EFS benötigen alle Benutzer EFS-Zertifikate. Falls Sie im Moment über keine Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) verfügen, können Sie selbstsignierte Zertifikate verwenden, die automatisch vom Betriebssystem erstellt werden. Wenn Sie jedoch Zertifizierungsstellen besitzen, möchten Sie diese möglicherweise für das Erstellen von EFS-Zertifikaten konfigurieren. Sie sollten auch einen Plan für die Wiederherstellung nach einem Systemausfall erstellen, wenn Sie EFS auf dem System verwenden.

Folgendes kann verschlüsselt werdenFür einzelne Dateien und Dateiordner (oder Unterordner) auf NTFS-Datenträgern kann das Verschlüsselungsattribut festgelegt werden. Es ist zwar üblich, mit dem Verschlüsselungsattribut versehene Dateiordner als "verschlüsselt" zu bezeichnen, doch ist der Ordner selbst nicht verschlüsselt, und kein Schlüsselpaar (privater und öffentlicher Schlüssel) ist erforderlich, um das Verschlüsselungsattribut für einen Dateiordner festzulegen. Wenn die Verschlüsselung für einen Ordner festgelegt wird, verschlüsselt EFS automatisch Folgendes:

Alle neu in dem Ordner erstellten Dateien.

Alle unverschlüsselten Dateien, die in den Ordner kopiert oder verschoben werden.

Optional alle vorhandenen Dateien und Unterordner.

Offlinedateien, die in Windows 2000 clientseitige Zwischenspeicherung genannt werden, können ebenfalls mit EFS verschlüsselt werden.

Verschlüsseln von OfflinedateienIn Windows 2000 wurde die Funktionalität der clientseitigen Zwischenspeicherung eingeführt, die nun als "Offlinedateien" bezeichnet wird. Es handelt sich hierbei um eine Microsoft IntelliMirror®-Verwaltungstechnologie, die Netzwerkbenutzern den Zugriff auf freigegebene Netzwerkordner auch dann ermöglicht, wenn der Clientcomputer nicht mit dem Netzwerk verbunden ist. Auch wenn keine Verbindung zum Netzwerk besteht, können Benutzer unterwegs noch immer Dateien durchsuchen, lesen und bearbeiten, da diese Dateien auf dem Clientcomputer zwischengespeichert wurden. Sobald der Benutzer später die Verbindung zum Server herstellt, gleicht das System die Änderungen mit dem Server ab.

Der Windows XP Professional-Client kann mithilfe von EFS Offlinedateien und -ordner verschlüsseln. Diese Funktion wird besonders von Personen geschätzt, die viel unterwegs sind, dabei regelmäßig offline arbeiten und die Datensicherheit gewährleisten müssen.

Verschlüsseln der Offlinedatei-DatenbankSie haben nun die Möglichkeit, die Datenbank mit den Offlinedateien zu verschlüsseln. Das ist eine Verbesserung gegenüber Windows 2000, da die zwischengespeicherten Dateien hier nicht verschlüsselt


werden konnten. Windows XP bietet Ihnen die Möglichkeit zum Verschlüsseln der Offlinedateien, um alle lokal zwischengespeicherten Dokumente vor Diebstahl zu schützen. Gleichzeitig wird Ihren lokal zwischengespeicherten Daten ein zusätzlicher Schutz bereitgestellt.

Sie können beispielsweise Offlinedateien verwenden und vertrauliche Daten dabei geschützt halten. Und falls Sie ein IT-Administrator sind, können Sie mit dieser Funktion alle lokal zwischengespeicherten Dokumente schützen. Offlinedateien stellen einen hervorragenden Schutz dar, falls ein tragbarer Computer mit vertraulichen Daten im Zwischenspeicher der Offlinedateien gestohlen wird.

Diese Funktion unterstützt die Ver- und Entschlüsselung der gesamten Offlinedatenbank. Zum Konfigurieren der Verschlüsselungsart für die Offlinedateien sind Administratorrechte erforderlich. Klicken sie unter Arbeitsplatz im Menü Extras auf Ordneroptionen, und aktivieren Sie dann auf der Registerkarte Offlinedateien das Kontrollkästchen Offlinedateien verschlüsseln, um Daten zu schützen.

In Abbildung 7 sehen Sie die Optionen für das Verschlüsseln der Offlinedatei-Datenbank.

Abbildung 7 Verschlüsseln der Offlinedatei-Datenbank


EFS-Remotevorgänge im Zusammenhang mit Dateifreigaben und WebordnernSie können in Netzwerkfreigaben oder in WebDAV-Ordnern (Web Distributed Authoring and Versioning) gespeicherte Dateien ver- und entschlüsseln. Webordner haben gegenüber Dateifreigaben einige Vorteile. Sie sollten deshalb für die Remotespeicherung von verschlüsselten Dateien, wenn möglich, stets Webordner verwenden.

Der Verwaltungsaufwand bei Webordnern ist geringer, und sie sind sicherer als Dateifreigaben. In Webordnern können verschlüsselte Dateien mithilfe der standardmäßigen HTTP-Dateiübertragungen über das Internet sicher gespeichert oder verteilt werden. Die Verwendung von Dateifreigaben für EFS-Remotevorgänge erfordert eine Domänenumgebung von Windows 2000 oder höher. Dies ist erforderlich, weil EFS zum Ver- oder Entschlüsseln von Dateien für den Benutzer die Identität des Benutzers über die Delegierung des Kerberos-Protokolls bestimmen muss.

HauptunterschiedDer Hauptunterschied zwischen EFS-Remotevorgängen im Zusammenhang mit Dateien, die in Dateifreigaben und Dateien, die in Webordnern gespeichert sind, liegt darin, wo diese Vorgänge stattfinden.

Beim Speichern von Dateien in Dateifreigaben werden alle EFS-Vorgänge auf dem Computer ausgeführt, auf dem die Dateien gespeichert sind. Wenn Sie z. B. die Verbindung zu einer Netzwerkfreigabe herstellen und eine zuvor verschlüsselte Datei öffnen, dann wird die Datei auf dem Computer entschlüsselt, auf dem sie gespeichert wurde. Anschließend wird die Datei unverschlüsselt über das Netzwerk auf Ihren Computer übertragen.

Bei Dateien, die in Webordnern gespeichert wurden, finden alle EFS-Vorgänge auf Ihrem lokalen Computer statt. Wenn Sie z. B. die Verbindung zu einem Webordner herstellen und eine zuvor verschlüsselte Datei öffnen, bleibt die Datei beim Übertragen auf Ihren Computer verschlüsselt und wird durch EFS auf Ihrem Computer entschlüsselt.

Dieser Unterschied darin, wo EFS-Vorgänge stattfinden, erklärt auch die Tatsache, dass Dateifreigaben mehr Verwaltungsschritte erfordern als Webordner.

EFS-Remotevorgänge in einer WebordnerumgebungWenn Sie verschlüsselte Dateien öffnen, die in Webordnern gespeichert sind, bleiben die Dateien beim Übertragen verschlüsselt. EFS entschlüsselt die Dateien lokal. Beim Uploaden und Downloaden von Dateien in bzw. aus Webordnern werden Rohdaten übertragen. Deshalb wären die Daten, selbst wenn ein unbefugter Benutzer beim Übertragen einer verschlüsselten Datei darauf zugreift, verschlüsselt und unbrauchbar.

EFS in Verbindung mit Webordnern macht eine spezielle Software für die sichere Freigabe verschlüsselter Dateien zwischen Benutzern, Unternehmen und Organisationen unnötig. Dateien können für einen schnellen Zugriff auf herkömmlichen Intranetdateiservern oder im Internet gespeichert werden und bleiben mit EFS zuverlässig geschützt.

WebDAV-Redirector Der WebDAV-Redirector ist ein Miniredirector, der das WebDAV-Protokoll unterstützt, eine Erweiterung des Standards HTTP, Version 1.1, und dient der Remotedokumentfreigabe über HTTP. Vorhandene Anwendungen werden vom WebDAV-Redirector unterstützt. Er ermöglicht die Dateifreigabe im Internet an


HTTP-Server, z. B. über Firewalls und Router. Internet-Informationsdienste (Internet Information Services, IIS), Version 5.0 (Windows 2000), unterstützt Webordner.

Sie greifen auf dieselbe Weise auf Dateiordner zu wie auf Dateifreigaben. Sie können einem Webordner mit dem Befehl Net Use oder über Windows-Explorer ein Netzwerklaufwerk zuordnen. Wenn die Verbindung zu dem Webordner hergestellt ist, können Sie Dateien genau wie bei Dateifreigaben kopieren und ver- oder entschlüsseln.

ZertifikatsdiensteDie Zertifikatsdienste sind der Teil des zentralen Betriebssystems, der es einem Unternehmen ermöglicht, als eigene Zertifizierungsstelle zu fungieren und digitale Zertifikate auszustellen und zu verwalten. Windows XP Professional unterstützt mehrere Ebenen der Zertifizierungshierarchie sowie ein vertrauenswürdiges Netzwerk mit Kreuzzertifizierung. Dazu gehören auch Offline- und Onlinezertifizierungsstellen.

Speicherung von Zertifikaten und öffentlichen SchlüsselnWindows XP Professional speichert Ihre auf öffentlichem Schlüssel basierten Zertifikate im persönlichen Zertifikatspeicher. Zertifikate werden unverschlüsselt gespeichert, da sie zu öffentlichen Informationen gehören. Sie werden zum Schutz vor Manipulationen digital von Zertifizierungsstellen signiert.

Benutzerzertifikate befinden sich im Ordner Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\SystemCertificates\My\Certificates für jedes Benutzerprofil. Diese Zertifikate werden bei jedem Anmelden am Computer in den persönlichen Speicher in der Systemregistrierung geschrieben. Für servergespeicherte Profile können die Zertifikate an beliebiger Stelle gespeichert werden. Wenn Sie sich an einem anderen Computer der Domäne anmelden, werden die Zertifikate auf diesen Computer übertragen.

Speicherung privater SchlüsselPrivate Schlüssel von auf Microsoft basierten Kryptografiedienstanbietern (Cryptographic Service Providers, CSPs), einschließlich des Base CSPs und des Enhanced CSPs, befinden sich im Benutzerprofil unter Stammverzeichnis\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\Crypto\RSA.

Bei einem servergespeicherten Benutzerprofil befindet sich der private Schlüssel im Ordner RSA des Domänencontrollers und wird auf Ihren Computer gedownloadet. Dort bleibt er bis zu Ihrer Abmeldung oder einem Neustart des Computers.

Da private Schlüssel geschützt werden müssen, werden alle Dateien im Ordner RSA automatisch mit einem willkürlich gewählten, symmetrischen Schlüssel verschlüsselt, dem so genannten Hauptschlüssel des Benutzers. Der Hauptschlüssel des Benutzers ist 64 Bytes lang und wird von einem effizienten Zufallsgenerator erzeugt. 3DES-Schlüssel werden vom Hauptschlüssel abgeleitet und dienen dem Schutz privater Schlüssel. Der Hauptschlüssel wird automatisch erzeugt und regelmäßig erneuert.

Der Hauptschlüssel wird beim Speichern auf der Festplatte durch einen Schlüssel, der zum Teil auf Ihrem Kennwort basiert, 3DES-geschützt. Er verschlüsselt im Ordner RSA jede Datei automatisch beim Erstellen.


Automatische Registrierung von BenutzerzertifikatenIn Windows 2000 wurde die automatische Registrierung von Benutzerzertifikaten eingeführt. Die automatische Registrierung von Zertifikaten für Computer oder Domänencontroller wird über Gruppenrichtlinien und Microsoft Active Directory™ aktiviert. Die automatische Registrierung von Computerzertifikaten eignet sich besonders, um eine IPSec- oder L2TP/IPSec VPN-Verbindung mit Windows XP-Routing- und RAS-Servern und ähnlichen Geräten zu vereinfachen.

Mit der automatischen Zertifikatregistrierung werden die Betriebskosten gesenkt und die Zertifikatverwaltung für Benutzer und Administratoren vereinfacht. Die Sicherheit für Benutzer in Unternehmen wird durch die Funktionen der automatischen Registrierung durch Smartcards und der selbstsignierten Zertifikate verbessert. Darüber hinaus werden die Sicherheitsmaßnahmen in Organisationen mit erhöhtem Sicherheitsbedarf vereinfacht.

Ausstehende Zertifikatsanforderungen und ErneuerungDie automatische Benutzerregistrierung in Windows XP Professional unterstützt ausstehende Zertifikatsanforderungen und Erneuerungsfunktionen. Sie können ein Zertifikat von einer Windows .NET Server-Zertifizierungsstelle manuell oder automatisch anfordern. Diese Anforderung wird bis zum Eingang der administrativen Genehmigung oder dem Abschluss der Verifizierung zwischengespeichert. Sobald das Zertifikat genehmigt bzw. ausgegeben wurde, wird die automatische Registrierung fortgesetzt und Ihr Zertifikat automatisch installiert.

Bei der Erneuerung abgelaufener Benutzerzertifikate wird ebenfalls das Verfahren der automatischen Registrierung eingesetzt. Zertifikate werden je nach den Angaben in der Zertifikatvorlage von Active Directory automatisch für den Benutzer erneuert.

Zertifikate und Schlüssel werden standardmäßig geschützt. Zusätzlich können Sie optionale Sicherheitsmaßnahmen für einen weiteren Schutz implementieren. Falls Sie die Sicherheit der Zertifikate und Schlüssel erhöhen müssen, können Sie private Schlüssel exportieren und an sicherer Stelle aufbewahren.

In Abbildung 8 sehen Sie einige der Optionen für das Einrichten der automatischen Zertifikatregistrierung.


Error: Reference source not foundAbbildung 8 Eigenschaften von Einstellungen für die automatische Registrierung

AnmeldeinformationsverwaltungDie Anmeldeinformationsverwaltung in Windows XP besteht aus drei Komponenten: Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen, gespeicherte Benutzernamen und Kennwörter sowie die Schlüsselsammlung. In Kombination bilden diese drei Komponenten ein kompaktes Anmeldeverfahren.

Eingabeaufforderungen zu AnmeldeinformationenDie Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen wird von einer Anwendung angezeigt, wenn von dem Authentifizierungspaket ein Authentifizierungsfehler zurückgegeben wird. (Dies trifft nur auf Anwendungen zu, in denen die Benutzeroberfläche implementiert ist.)

In dem Dialogfeld können Sie einen Benutzernamen und ein Kennwort eingeben oder ein X.509-Zertifikat aus dem eigenen Speicher auswählen. In der Anwendung kann auch das Kontrollkästchen Kennwort speichern angezeigt werden, mit dem Sie Ihre Anmeldeinformationen für eine spätere Verwendung speichern können.

Nur integrierte Authentifizierungspakete (z. B. Kerberos-Protokoll, NTLM, SSL usw.) lassen das Speichern der Anmeldeinformationen zu. Bei einer Standardauthentifizierung wird die Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen angezeigt, jedoch ohne die Option zum Speichern der Anmeldeinformationen. In Abbildung 9 sehen Sie ein Beispiel der Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen.


Abbildung 9 Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen

Gespeicherte Benutzernamen und KennwörterGespeicherte Benutzernamen und Kennwörter stellen einen sicheren Zwischenspeicher dar, in dem Ihre gespeicherten Anmeldeinformationen aufbewahrt werden. Der Zugriff auf die Anmeldeinformationen wird von den lokalen Sicherheitseinstellungen gesteuert. Die Anmeldeinformationen werden anhand der von der Ressource zurückgegebenen Zielinformationen gespeichert.

Falls die Anmeldeinformationen mit dem Kontrollkästchen Kennwort speichern in der Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen gespeichert werden, dann erfolgt die Speicherung in möglichst allgemeiner Form. Wenn Sie z. B. auf einen bestimmten Server in der Domäne zugegriffen hätten, würden die Anmeldeinformationen als *.Domäne.com gespeichert. Das Speichern anderer Anmeldeinformationen für einen anderen Server dieser Domäne würde diese Anmeldeinformationen nicht überschreiben. Sie würden bis zur Eingabe genauerer Zielinformationen gespeichert bleiben.

Wenn über ein integriertes Authentifizierungspaket auf eine Ressource zugegriffen wird, sucht das Authentifizierungspaket in den gespeicherten Benutzernamen und Kennwörtern nach den Anmeldeinformationen, die den von der Ressource zurückgegebenen Zielinformationen am genauesten entsprechen. Werden diese Anmeldeinformationen gefunden, dann werden sie vom Authentifizierungspaket verwendet, ohne dass Eingaben von Ihnen erforderlich sind. Werden keine Anmeldeinformationen gefunden, wird ein Authentifizierungsfehler an die Anwendung zurückgegeben, die versuchte auf die Ressource zuzugreifen.

Anmerkung: Für diese nahtlose Authentifizierung muss die Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen nicht in der Anwendung, die auf die Ressource zuzugreifen versucht, implementiert sein. Falls die Anwendung ein integriertes Authentifizierungspaket verwendet, versucht das Paket, die Anmeldeinformationen abzurufen. Wenn Sie die Anmeldeinformationen eingegeben haben, ist es sogar so, dass sie nur von dem Authentifizierungspaket abgerufen werden können.


In den Abbildungen 10, 11a und 11b sehen Sie Beispiele zu Benutzeroberflächen für die Kennwortverwaltung.

Abbildung 10 Klassische Benutzeroberfläche für die Kennwortverwaltung (Windows XP Professional in einer Domäne)


Abbildung 11a Benutzeroberfläche für die Kennwortverwaltung (Windows XP Home Edition und Windows XP Professional in einer Arbeitsgruppe)

Abbildung 11b Benutzeroberfläche für die Kennwortverwaltung (Windows XP Home Edition und Windows XP Professional in einer Arbeitsgruppe)


SchlüsselsammlungMit der Schlüsselsammlung können Sie die zu den gespeicherten Benutzernamen und Kennwörtern gehörenden Anmeldeinformationen manuell verwalten. Sie greifen über das Benutzerkonten-Applet der Systemsteuerung auf die Schlüsselsammlung zu.

In der Schlüsselsammlung sehen Sie eine Liste aller Anmeldeinformationen, die sich aktuell unter den gespeicherten Benutzernamen und Kennwörtern befinden. Wenn die jeweiligen Anmeldeinformationen hervorgehoben werden, zeigt ein Beschreibungsfeld am unteren Rand eine kurze Beschreibung der Informationen an. Sie können hier neue Anmeldeinformationen hinzufügen und vorhandene Anmeldeinformationen bearbeiten oder entfernen.

Hinzufügen von Anmeldeinformationen. Zum Hinzufügen von Anmeldeinformationen wird eine Benutzeroberfläche angezeigt, die der Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen ähnelt. Sie müssen dann die Zielinformationen eingeben. Denken Sie daran, dass die Zielinformationen Platzhalter in der Form "*" enthalten dürfen.

Bearbeiten von Anmeldeinformationen. Beim Bearbeiten der Anmeldeinformationen können Sie die Zielinformationen oder direkt die Anmeldeinformationen ändern. Falls es sich um einen Benutzernamen und/oder ein Kennwort handelt, können Sie von hier das Kennwort auf dem Server ändern. Anmeldeinformationen, die speziell von einer Anwendung erstellt wurden, können Sie nicht mithilfe der Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen ändern. Beispielsweise können Sie damit keine Kennwörter bearbeiten.

Entfernen von Anmeldeinformationen. Sie können alle Anmeldeinformationen entfernen.

Die Möglichkeit zum Speichern von Anmeldeinformationen unter den gespeicherten Benutzernamen und Kennwörtern kann mithilfe von Gruppenrichtlinien aktiviert oder deaktiviert werden.

Damit andere Softwareentwickler diesen Mechanismus verwenden können, werden die Benutzeroberfläche für Eingabeaufforderungen zu Anmeldeinformationen und die zugrunde liegende Anmeldeinformations-API im Platform Software Development Kit (SDK) dokumentiert.

Schnelle BenutzerumschaltungAlle Funktionen der schnellen Benutzerumschaltung von Windows® XP Home Edition sind auch in Windows XP Professional verfügbar. (Weitere Informationen finden Sie unter Schnelle Benutzerumschaltung im Abschnitt zu Windows XP Home Edition in diesem Dokument.)

Auf Computern mit Windows XP Professional, die nicht mit einer Domäne verbunden sind, können Sie ohne das Abmelden oder Schließen der Anwendungen zwischen den Benutzerkonten wechseln.

Anmerkung: Die schnelle Benutzerumschaltung des Betriebssystems Windows XP Professional ist nur bei Computern einer Arbeitsgruppe oder eigenständigen Computern verfügbar. Wenn der Computer zu einer Domäne gehört, werden die Optionen für das Anmelden am Computer durch die vom IT-Administrator festgelegten Richtlinien bestimmt.


Persönliche DatensicherheitDie Überlegungen zur Datensicherheit, die Benutzer von Windows XP Home Edition betreffen, entsprechen denen der Benutzer von Windows XP Professional. (Weitere Informationen finden Sie unter Persönliche Datensicherheit im Abschnitt zu Windows XP Home Edition in diesem Dokument.)

Anmerkung: Wenn Sie Windows XP Professional im Rahmen einer Arbeitsgruppe oder auf einem eigenständigen Computer verwenden, unterscheiden sich die verfügbaren Datensicherheitsfunktionen von den Funktionen, die auf zu einer Domäne gehörenden Computern verfügbar sind. Gehört Ihr Computer zu einer Domäne, haben die vom Systemadministrator festgelegten Richtlinien Vorrang.

Gemeinsame Nutzung der InternetverbindungAlle Funktionen der gemeinsamen Nutzung der Internetverbindung von Windows® XP Home Edition sind auch in Windows XP Professional verfügbar. (Weitere Informationen finden Sie unter Gemeinsame Nutzung der Internetverbindung im Abschnitt zu Windows XP Home Edition in diesem Dokument.)

Standortbezogene Gruppenrichtlinien der gemeinsamen Nutzung der InternetverbindungDas Besondere an der gemeinsamen Nutzung der Internetverbindung in Windows XP Professional sind die standortbezogenen Gruppenrichtlinien. Diese Funktion eignet sich speziell für Benutzer tragbarer Computer. Wenn ein Windows XP Professional-Computer zu einer Domäne gehört, kann der Domänenadministrator eine Gruppenrichtlinie erstellen, mit der die Verwendung der gemeinsamen Nutzung der Internetverbindung im Unternehmensnetzwerk unterbunden wird. Sobald Sie den Computer mit nach Hause nehmen, ist die gemeinsamen Nutzung der Internetverbindung verfügbar, da die Richtlinie nicht auf Ihr Heimnetzwerk zutrifft.

Anmerkung: Die gemeinsame Nutzung der Internetverbindung des Betriebssystems Windows XP Professional ist nur bei Computern einer Arbeitsgruppe oder bei eigenständigen Computern verfügbar. Wenn der Computer zu einer Domäne gehört, werden die Optionen für Verbindungen mit dem Internet durch die vom IT-Administrator festgelegten Richtlinien bestimmt.

InternetverbindungsfirewallAlle Funktionen des Internetverbindungs firewalls von Windows® XP Home Edition sind auch in Windows XP Professional verfügbar. Der Internetverbindungsfirewall von Windows XP Professional schützt Desktop- und tragbare Computer vor Sicherheitsgefährdungen bei der Verwendung von DSL-, Kabel- oder DFÜ-Modemverbindungen zu einem Internetdienstanbieter.

Standortbezogene Gruppenrichtlinien des InternetverbindungsfirewallsDas Besondere am Internetverbindungsfirewall in Windows XP Professional sind die standortbezogene Gruppenrichtlinien. Diese Funktion eignet sich speziell für Benutzer, die Ihre tragbaren Computer zu Hause oder an anderen Orten schützen möchten, wie in Hotels, auf Flughäfen oder an anderen öffentlichen "Hotspots" für Internetverbindungen.

Wenn ein Windows XP Professional-Computer zu einer Domäne gehört, kann der Domänenadministrator eine Gruppenrichtlinie erstellen, mit der die Verwendung des Internetverbindungsfirewalls während der Verbindung mit dem Unternehmensnetzwerk deaktiviert wird. Auf diese Weise können Ressourcen des Unternehmensnetzwerkes mit dem Laptop verwendet werden, ohne dass komplizierte Maßnahmen von Ihrer


Seite oder durch den Netzwerkadministrator erforderlich wären. Wenn Sie den Computer nach Hause oder an einen anderen Internetverbindungs-Hotspot bringen, ist der Internetverbindungsfirewall verfügbar, da die Richtlinie außerhalb des Unternehmensnetzwerkes nicht zutrifft.

Funktionsweise des InternetverbindungsfirewallsDer Internetverbindungsfirewall arbeitet als statusbehafteter Paketfilter, der dieselbe Technologie verwendet wie die gemeinsame Nutzung der Internetverbindung. Zwar ist der Internetverbindungsfirewall eine eigenständige Funktion, doch können Sie ihn auch auf dem freigegebenen Adapter zum Schutz Ihres Heimnetzwerkes ausführen.

Wenn er aktiviert ist, blockiert dieser statusbehaftete Filter alle aus dem öffentlichen Netzwerk stammenden unaufgeforderten Verbindungen. Zu diesem Zweck verwendet der Internetverbindungsfirewall die NAT-Tabelle (Network Address Translation, Netzwerkadressübersetzung) und vergleicht jeden eingehenden Datenverkehr mit den Einträgen in der NAT-Tabelle. Eingehender Datenverkehr wird nur dann weitergeleitet, wenn eine Zuordnung in der NAT-Tabelle vorhanden ist, die aus dem Firewallsystem oder aus dem geschützten internen Netzwerk stammt. Das heißt, wenn die Netzwerkkommunikation nicht innerhalb des geschützten Netzwerks aufgebaut wurde, werden die eingehenden Daten verworfen.

Bei der Verwendung des Internetverbindungsfirewalls von Windows XP Professional können Sie sicher sein, dass Hacker Ihr System nicht durchsuchen oder auf Ihre Ressourcen zugreifen können. Es gibt jedoch einen Nachteil. Der Firewall erschwert die Konfiguration Ihres Systems als Server für andere Teilnehmer im Internet.

Anmerkung: Der Internetverbindungsfirewall des Betriebssystems Windows XP Professional ist nur bei Computern einer Arbeitsgruppe oder bei eigenständigen Computern verfügbar. Wenn der Computer zu einer Domäne gehört, werden die Funktionen des Firewallschutzes durch die vom IT-Administrator festgelegten Richtlinien bestimmt.

Sicherheitsbezogene GruppenrichtlinieneinstellungenWindows XP enthält Sicherheitsvorlagen. Mit diesen vorkonfigurierten Sammlungen von sicherheitsbezogenen Richtlinien kann eine jeweils angemessene Sicherheitsstufe auf Arbeitsstationen sichergestellt werden. Die Vorlagen liefern Standardkonfigurationen zu einer niedrigen, mittleren und hohen Sicherheit und können speziellen Anforderungen entsprechend angepasst werden.

Sie können auch Sicherheitsrichtlinien für folgende Bereiche der Kennwortverwaltung festlegen:

Bestimmen der Mindestlänge von Kennwörtern.

Festlegen des für Kennwortänderungen erforderlichen Intervalls.

Steuern des Zugriffs auf Ressourcen und Daten.

Richtlinien für SoftwareeinschränkungRichtlinien für Softwareeinschränkung stellen Administratoren einen richtlinienbezogenen Mechanismus bereit, der die Software, die auf deren Domänen ausgeführt wird, identifiziert und die Möglichkeiten zum Ausführen dieser Software steuert. Die Verwendung von Richtlinien für Softwareeinschränkung ermöglicht es


Administratoren, das Ausführen unerwünschter Anwendungen zu verhindern, zu denen Viren und Trojanische Pferde gehören oder auch Software, die nach der Installation bekanntermaßen Konflikte verursacht.

Verwenden von Richtlinien für SoftwareeinschränkungAls Administrator können Sie mithilfe einer Richtlinie für Softwareeinschränkung die ausgeführte Software auf eine Reihe von vertrauenswürdigen Anwendungen beschränken. Der Dateipfad, der Dateihash, das Microsoft® Authenticode®-Signaturgeberzertifikat oder die Internetzone geben der Richtlinie die Anwendungen an. Sobald die Anwendung identifiziert ist, erzwingt das System die vom Administrator festgelegten Richtlinien.

Richtlinien für Softwareeinschränkung können auch als Schutz vor skriptbasierten Viren und Trojanischen Pferden dienen. Ein Administrator kann eine Richtlinie für Softwareeinschränkung konfigurieren, nach der nur von Mitgliedern der IT-Organisation signierte Skripts ausgeführt werden dürfen. Dadurch werden alle skriptbasierten Viren, wie z. B. ILOVEYOU.VBS, abgewehrt. Mit Richtlinien für Softwareeinschränkung kann auch geregelt werden, welche Anwendungen Benutzer auf den Computern installieren dürfen.

Richtlinien für Softwareeinschränkung können auf einem eigenständigen Computer durch Konfigurieren der lokalen Sicherheitsrichtlinie verwendet werden. Sie integrieren sich auch in die Gruppenrichtlinie und in Active Directory. Es ist möglich, verschiedene Richtlinien für Softwareeinschränkung für verschiedene Gruppen von Benutzern oder Computern anzupassen. Ein Windows XP-Computer kann für das Erstellen einer Richtlinie für Softwareeinschränkung in einer Windows 2000-Umgebung verwendet werden. Der Windows 2000-Computer in der Domäne ignoriert die Richtlinie für Softwareeinschränkung, wohingegen der Windows XP-Computer sie anwendet.

Erstellen einer Richtlinie für SoftwareeinschränkungEine Richtlinie für Softwareeinschränkung wird mithilfe des Gruppenrichtlinien-Snap-Ins der Microsoft Management Console (MMC) erstellt. Die Richtlinie besteht aus einer Standardregel dazu, ob Programme ausgeführt werden dürfen, sowie aus Ausnahmen zu dieser Regel. Die Standardregel kann auf nicht eingeschränkt oder nicht zugelassen, also im Wesentlichen auf "ausführen" oder "nicht ausführen" festgelegt werden. Das Festlegen der Standardregel auf nicht eingeschränkt ermöglicht einem Administrator das Definieren von Ausnahmen, die sich genau auf die Reihe von Programmen beziehen, deren Ausführung nicht zugelassen ist. Ein sichereres Verfahren wäre es, die Standardregel auf nicht zugelassen festzulegen und nur die Programme für die Ausführung anzugeben, die bekannt und vertrauenswürdig sind.

Zwei Arten von Richtlinien für SoftwareeinschränkungEs gibt zwei Möglichkeiten der Verwendung von Richtlinien für Softwareeinschränkung. Wenn ein Administrator alle Anwendungen identifiziert hat, deren Ausführung erlaubt werden soll, kann er anhand einer Richtlinie für Softwareeinschränkung die Ausführung auf ausschließlich diese Liste von vertrauenswürdigen Anwendungen beschränken. Falls ein Administrator nicht alle Anwendungen kennt, die die Benutzer ausführen werden, muss er von Fall zu Fall aktiv werden und ungeeignete Anwendungen einschränken, sobald er sie entdeckt.

Richtlinien für Softwareeinschränkung können in den folgenden Szenarien angewendet werden:

Nur vertrauenswürdiger Code darf ausgeführt werden. Wenn jeder vertrauenswürdige Code


identifiziert werden kann, dann kann der Administrator das System wirkungsvoll sperren. Die folgenden Beispiele zeigen, wo die Richtlinie nur vertrauenswürdiger Code darf ausgeführt werden angewendet wird:

Anwendungsstation

Taskstation

Kiosk

In diesen Fällen wird die Standardregel auf nicht zulässig festgelegt. Mit den Ausnahmen zu dieser Regel dürfen nur vertrauenswürdige Anwendungen ausgeführt werden. Ein Beispiel für diese Richtlinie wäre ein Computer, auf dem nur bestimmte Anwendungen ausgeführt werden sollen und Benutzer keine weitere Software installieren können. Ein Administrator könnte eine Richtlinie erstellen, nach der nur Microsoft Word und Microsoft Excel auf dem Computer ausgeführt werden dürfen. Falls ein Benutzer ein Programm downloadet oder von einer Diskette auszuführen versucht, wird die Ausführung verhindert, da es sich nicht auf der von der Richtlinie definierten Liste der vertrauenswürdigen Programme befindet.

Unerwünschter Code darf nicht ausgeführt werden. Manchmal kann ein Administrator nicht die gesamte Palette an Software vorhersehen, die von Benutzern benötigt wird. In diesen Fällen kann der Administrator nur reagieren und unerwünschten Code identifizieren, sobald er auftritt. Unternehmen mit lose verwalteten Clients gehören zu diesem Modell. Die folgenden Szenarien sind Beispiele für diesen Fall:

Kaum verwaltete persönliche Computer

Wenig verwaltete persönliche Computer

Ein Administrator stellt beispielsweise fest, dass viele Benutzer eine Anwendungen ausführen, in der Dateien gemeinsam genutzt werden, was die Netzwerkbandbreite erheblich belastet. Er kann dann eine Regel erstellen, die diese Anwendung identifiziert und an der Ausführung hindert. Falls Benutzer ein Programm installieren, das bekanntermaßen Konflikte mit vorhandener Software verursacht, kann der Administrator eine Regel erstellen, die das Installationsprogramm dieser Software identifiziert und an der Installation hindert.

In Abbildung 12 sehen Sie Einstellungen einer Richtlinie für Softwareeinschränkung.


Abbildung 12 Richtlinien für Softwareeinschränkung – Lokale Sicherheitseinstellungen

Regeln zur SoftwareidentifikationEin Administrator identifiziert Software mithilfe der folgenden Regeln:

Hashregel. Ein MMC-Snap-In zu den Richtlinien fü Softwareeinschränkung ermöglicht einem Administrator zu einer Datei zu wechseln und dieses Programm durch Berechnung seines Hash zu identifizieren. Ein Hash ist eine Art digitaler Fingerabdruck, der ein Programm oder eine Datei eindeutig identifiziert. Eine Datei kann umbenannt oder in einen anderen Ordner oder auf einen anderen Computer verschoben werden, besitzt jedoch noch immer denselben Hash.

Pfadregel. Eine Pfadregel kann Software nach dem vollständigen Pfadnamen identifizieren, beispielsweise C:\Programme\Microsoft Office\Office\excel.exe, oder nach dem Pfadnamen, der zum übergeordneten Ordner führt, wie z. B. C:\Windows\System32. (In diesem Fall würden alle Programme in diesem Verzeichnis und in den Unterverzeichnissen identifiziert.) Pfadregeln können auch Umgebungsvariablen verwenden, wie %userprofile%\Lokale Einstellungen\Temp.

Zertifikatregel. Eine Zertifikatregel identifiziert Software nach dem Herausgeberzertifikat, mit dem die Software digital signiert wurde. Beispielsweise kann ein Administrator eine Zertifikatregel konfigurieren, mit der die Installation von Software zugelassen wird, die von Microsoft oder der IT-Organisation von Microsoft signiert wurde.

Zonenregel. Eine Zonenregel identifiziert Software, die aus dem Internet, dem lokalen Intranet, von vertrauenswürdigen Sites oder von eingeschränkten Sites stammt.

Steuern digital signierter SoftwareMit Richtlinien für Softwareeinschränkung hat ein Administrator folgende Möglichkeiten, digital signierte Software zu steuern: Einschränken von Microsoft ActiveX®-Steuerelementen. Ein Administrator kann ActiveX-

Steuerelemente angeben, die für eine bestimmte Domäne in Internet Explorer ausgeführt werden. Er lässt dazu anhand einer Richtlinie für Softwareeinschränkung vertrauenswürdige Zertifikate von Softwareherausgebern auflisten. Wenn sich der Herausgeber eines ActiveX-Steuerelements in der Liste der vertrauenswürdigen Herausgeber befindet, wird die Software automatisch nach dem Downloaden ausgeführt. Eine Richtlinie für Softwareeinschränkung kann auch nicht zulässige Herausgeber auflisten. Auf diese Weise wird automatisch das Ausführen von ActiveX-Steuerelementen verhindert, die von diesen Herausgebern signiert wurden.

Mithilfe einer Richtlinie für Softwareeinschränkung kann auch gesteuert werden, wer eine Vertrauensentscheidung zu einem unbekannten Herausgeber trifft, d. h. zu einem Herausgeber, der nicht ausdrücklich als vertrauenswürdig oder nicht vertrauenswürdig gilt. Richtlinien für die Softwareeinschränkung können festgelegt werden, um nur lokalen Administratoren oder Domänenadministratoren die Entscheidung zu überlassen, welcher Herausgeber als vertrauenswürdig gilt, und zu verhindern, dass Benutzer diese Entscheidung treffen.

Verwenden von Windows Installer. Mit Windows Installer installierte Programme können digital signiert


werden. Mithilfe einer Richtlinie für Softwareeinschränkung kann ein Administrator festlegen, dass nur von einem bestimmten Softwareherausgeber digital signierte Software installiert werden kann. Windows Installer überprüft dann vor der Installation der Software auf dem Computer, ob eine zulässige Signatur vorhanden ist.

Verwenden von Microsoft Visual Basic® Script. Visual Basic Script-Dateien können digital signiert werden. Ein Administrator kann eine Richtlinie für Softwareeinschränkung konfigurieren, nach der Visual Basic Script-Dateien (.vbs) von genehmigten Softwareherausgebern digital signiert werden müssen, damit sie ausgeführt werden können.

Internet Protocol Security (IPSec)Der Bedarf an einer IP-basierten Netzwerksicherheit ist in der heutigen vernetzten Geschäftswelt des Internets, von Intranets, Zweigniederlassungen und des Remotezugriffs nahezu überall vorhanden. Da ständig vertrauliche Informationen über Netzwerke weitergeleitet werden, ist es die Aufgabe von Netzwerkadministratoren und anderer IT-Experten, sicherzustellen, das dieser Datenverkehr folgenden Kriterien entspricht:

Die Daten können während der Übertragung nicht geändert werden.

Die Daten können nicht abgefangen, angezeigt oder kopiert werden.

Unbefugte können keine falsche Identität vortäuschen.

Die Daten können nicht abgefangen und später wiedergegeben werden, um Zugriff auf vertrauliche Ressourcen zu erhalten. In der Regel kann ein verschlüsseltes Kennwort auf diese Weise missbraucht werden.

Diese Sicherheitsdienste fallen unter die Begriffe Datenintegrität, Datenvertraulichkeit, Datenauthentifzierung und Wiedergabeschutz.

Begründung für den Bedarf an IPSecIP besitzt keinen Standardsicherheitsmechanismus. IP-Pakete können einfach gelesen, geändert, wiedergegeben und gefälscht werden. Ohne Sicherheit können sowohl öffentliche als auch private Netzwerke nicht autorisierter Überwachung sowie unbefugtem Zugriff ausgesetzt sein. Interne Angriffe können die Folge minimaler oder nicht vorhandener Intranetsicherheit sein, externe Risiken für das private Netzwerk hingegen entstehen durch Verbindungen zum Internet und zu Extranets. Eine auf Kennwörtern basierende Benutzerzugriffssteuerung allein kann die über ein Netzwerk übertragenen Daten nicht schützen.

Aus diesem Grund wurde IPSec von der IETF (Internet Engineering Task Force) entwickelt, um die Datenauthentifizierung, Datenintegrität, Datenvertraulichkeit und den Wiedergabeschutz auf Netzwerkebene zu unterstützen. IPSec ist in die Sicherheit von Windows 2000 und Windows XP Professional integriert und stellt eine ideale Plattform zum Schutz der Intranet- und Internetkommunikation bereit. Es verwendet Verschlüsselungsalgorithmen nach Industriestandard und eine umfassende Sicherheitsverwaltung, damit die Sicherheit jeder TCP/IP-Kommunikation auf beiden Seiten des Unternehmensfirewalls gewährleistet wird. Das Ergebnis ist eine nahtlose Sicherheitsstrategie in Windows 2000 und Windows XP Professional, die Schutz vor externen und internen Angriffen bietet.


Die IP-Sicherheit wird unter der Transportschicht bereitgestellt. Auf diese Weise bleiben Netzwerkmanager die Schwierigkeiten und Kosten bei der Bereitstellung und Koordination der Sicherheit für jede einzelne Anwendung erspart. Durch die Bereitstellung von Windows XP Professional IPSec und Windows 2000 IPSec liefern Netzwerkmanager eine zuverlässige Ebene für den Schutz des gesamten Netzwerkes, da Anwendungen automatisch über IPSec-Server und -Clients geschützt werden.

In Abbildung 13 sehen Sie Einstellungen von IPSec.

Abbildung 13 IPSec – Lokale Sicherheitseinstellungen

Funktionsweise von IPSec zur Abwehr von NetzwerkangriffenOhne Sicherheitsmaßnahmen können Daten einem Angriff ausgesetzt sein. Einige Angriffe sind passiv, d. h. Informationen werden nur überwacht. Andere Angriffe sind aktiv, was bedeutet, dass Informationen mit der Absicht geändert werden, Daten bzw. das Netzwerk selbst zu beschädigen oder zu zerstören.

Tabelle 1 zeigt einige allgemeine Sicherheitsrisiken in heutigen Netzwerken und wie sie mithilfe von IPSec verhindert werden können.

Tabelle 1 Arten der Netzwerkangriffe und deren Verhinderung durch IPSecAngriffsart Beschreibung Verhinderung durch IPSec

Lauschangriff (auch "Aufspüren" oder "Snooping" genannt)

Überwachen von Klartext- bzw. unverschlüsselten Datenpaketen.

Daten werden vor der Übertragung verschlüsselt, so dass der Zugriff auf Originaldaten auch dann nicht möglich ist, wenn das Datenpaket überwacht oder abgefangen wird. Nur Peers verfügen über den Verschlüsselungsschlüssel.

Datenänderung

Ändern und Übertragen modifizierter Datenpakete.

Mittels Datenhash wird jedem Paket eine kryptografische Prüfsumme angefügt, die vom empfangenen Computer überprüft wird, damit


Angriffsart Beschreibung Verhinderung durch IPSecÄnderungen entdeckt werden.

Identity Spoofing

Die Verwendung konstruierter oder abgefangener Datenpakete mit dem Ziel, eine gültige Adresse vorzutäuschen.

Das Protokoll Kerberos Version 5, auf öffentlichem Schlüssel basierte Zertifikate oder vorinstallierte Schlüssel authentifizieren Peers im Vorfeld, damit eine sichere Kommunikation eingeleitet werden kann.

Dienstverweigerung

Berechtigte Benutzer werden am Zugriff auf das Netzwerk gehindert. Ein Beispiel hierfür ist die gezielte Überlastung des Netzwerkes mit Datenpaketen.

Ports oder Protokolle können blockiert werden.

Man-in-the-Middle

Das Umleiten von IP-Paketen zur Überwachung und gegebenenfalls Änderung an nicht vorgesehene Adressaten.

Authentifizierung von Peers.

Bekannte Schlüssel

Verwendung zum Entschlüsseln oder Ändern von Daten.

In Windows XP Professional werden kryptografische Schlüssel regelmäßig erneuert, um die Gefahr zu verringern, dass abgefangene Schlüssel für den Zugriff auf sichere Informationen missbraucht werden können.

Angriff auf Anwendungsebene

Dieser Angriff ist hauptsächlich gegen Anwendungsserver gerichtet und dient dazu, Fehler im Betriebssystem oder in Anwendungen eines Netzwerkes zu verursachen oder Viren einzuschleusen.

Da IPSec auf der Netzwerkebene implementiert wird, werden Pakete, die den Sicherheitsfiltern dieser Ebene nicht entsprechen, keinesfalls an Anwendungen weitergeleitet, wodurch die Anwendungen und das Betriebssystem geschützt bleiben.

KryptografiemechanismenIPSec verhindert Angriffe mithilfe von Kryptografiemechanismen. Die Kryptografie ermöglicht durch Hashing und Verschlüsselung der Informationen ein sicheres Übertragen der Daten.

Zum Sichern der Informationen wird eine Kombination aus Algorithmus und Schlüssel verwendet:

Der Algorithmus ist der mathematische Vorgang, durch den die Informationen gesichert werden.

Ein Schlüssel besteht aus einem Geheimcode oder einer Nummer, die zum Lesen, Bearbeiten und Überprüfen gesicherter Daten benötigt wird.


IPSec ermittelt anhand von richtlinienbasierten Mechanismen, welche Sicherheitsstufe während einer Kommunikationssitzung erforderlich ist. Richtlinien können mithilfe von Windows® 2000-Domänencontrollern in einem Netzwerk verteilt oder lokal in der Registrierung eines Windows XP Professional-Computers erstellt und gespeichert werden.

Funktionsweise von IPSecBevor Daten übertragen werden, handelt ein IPSec-Computer die Sicherheitsstufe aus, die während der Kommunikationssitzung beibehalten wird. Bei der Aushandlung werden die Authentifizierungs-, eine Hashing-, eine Tunneling- (optional) und eine Verschlüsselungsmethode (ebenfalls optional) bestimmt. Die geheimen Authentifizierungsschlüssel werden lokal anhand der dabei ausgetauschten Informationen auf jedem Computer bestimmt. Zu keinem Zeitpunkt werden tatsächliche Schlüssel übertragen. Nach dem Erstellen des Schlüssels werden Identitäten authentifiziert, und ein gesicherter Datenaustausch beginnt.

Die resultierende Sicherheitsstufe kann je nach der IP-Sicherheitsrichtline des sendenden oder empfangenden Computers niedrig oder hoch sein. Beispielsweise erfordert eine Kommunikationssitzung zwischen einem Windows XP Professional-Computer und einem nicht mit IPSec kompatiblen Computer möglicherweise keinen sicheren Übertragungskanal. Hingegen kann eine Kommunikationssitzung zwischen einem Windows 2000-Server, auf dem sich vertrauliche Informationen befinden, und einem Intranethost eine hohe Sicherheit erfordern.

SmartcardunterstützungEine Smartcard ist eine Karte mit integriertem Schaltkreis (Integrated Circuit Card, ICC) von etwa der Größe einer Kreditkarte. Sie können darauf Zertifikate und private Schlüssel speichern und Kryptografievorgänge mit öffentlichem Schlüssel ausführen, wie Authentifizierung, digitale Signatur und Schlüsselaustausch.

Eine Smartcard erhöht die Sicherheit auf folgende Weise:

Sie ermöglicht eine vor unbefugtem Zugriff geschützte Speicherung von privaten Schlüsseln und anderen Arten persönlicher Informationen.

Sie grenzt sicherheitsrelevante Berechnungen im Zusammenhang mit der Authentifizierung, digitalen Signaturen und dem Austausch von Schlüsseln aus Systembereichen aus, die diese Daten nicht benötigen.

Sie ermöglicht die Weitergabe von Anmeldeinformationen und anderen privaten Informationen zwischen Computern (z. B. von einem Computer im Büro auf einen Heim- oder Remotecomputer).

PIN statt KennwortBei einer Smartcard wird eine PIN (Personal Identification Number) anstelle eines Kennwortes verwendet. Durch die PIN ist die Smartcard vor Missbrauch geschützt. Der Besitzer der Smartcard wählt die PIN aus. Zur Verwendung der Smartcard fügen Sie sie in einen am Computer angeschlossenen Smartcardleser ein und geben dann die PIN ein.

Eine PIN bietet einen höheren Schutz als ein herkömmliches Netzwerkkennwort. Ein Kennwort (oder ein davon abgeleiteter Hash) wird im Netzwerk weitergeleitet und kann abgefangen werden. Die Zuverlässigkeit eines Kennwortes hängt von seiner Länge ab, wie gut es geschützt ist und wie schwierig ein unbefugter Benutzer es erraten kann. Im Gegensatz zu einem Kennwort wird eine PIN niemals im Netzwerk


weitergeleitet. Darüber hinaus lassen Smartcards nur eine beschränkte Anzahl von fehlgeschlagenen Versuchen zur Eingabe der richtigen PIN zu (in der Regel drei bis fünf), bevor sie gesperrt werden. Wenn das Limit erreicht ist, funktioniert auch die Eingabe der richtigen PIN nicht mehr. Der Benutzer muss sich zum Entsperren der Karte an einen Systemadministrator wenden.

SmartcardstandardsWindows 2000 unterstützt PC/SC-Smartcards (Personal Computer/Smart Card) und Plug & Play-Smartcardleser nach Industriestandard, die den Spezifikationen der PC/SC Workgroup entsprechen. Für die Verwendung mit Windows 2000 Server und Windows XP Professional muss eine Smartcard physisch und elektronisch den Standards ISO 7816-1, 7816-2 und 7816-3 entsprechen.

Smartcardleser können an die Standardperipherieschnittstellen von persönlichen Computern angeschlossen werden, wie RS-232, PC Card und USB (Universal Serial Bus). Einige RS-232-Leser besitzen ein zusätzliches Kabel, das zur Stromaufnahme des Lesers im PS/2-Anschluss eingesteckt werden kann. Der Leser kommuniziert jedoch nicht über den PS/2-Anschluss.

Leser sind Windows-Standardgeräte und tragen eine Sicherheitsbeschreibung und eine Plug & Play-ID. Smartcardleser werden durch Windows-Standardgerätetreiber gesteuert, und sie können mithilfe des Hardware-Assistenten installiert oder entfernt werden.

Windows 2000 Server und Windows XP Professional enthalten Treiber für verschiedene im Handel erhältliche Plug & Play-Smartcardleser, die für die Anzeige des Windows-Kompatibilitätslogos zertifiziert sind. Einige Hersteller stellen möglicherweise Treiber für nicht zertifizierte Smartcardleser bereit, die derzeit mit dem Windows-Betriebssystem verwendet werden können. Um eine fortlaufende Unterstützung durch Microsoft sicherzustellen, sollten Sie dennoch nur Smartcardleser erwerben, die das Windows-Kompatibilitätslogo anzeigen.

Anmelden mit einer SmartcardSmartcards können nur für eine Anmeldung an Domänenkonten, nicht an lokalen Konten, verwendet werden. Wenn Sie sich mit einem Kennwort interaktiv an einem Domänenkonto anmelden, führen Windows 2000 Server und Windows XP Professional die Authentifizierung mit dem Kerberos V5-Protokoll durch. Bei einer Smartcard verwendet das Betriebssystem die Kerberos V5-Authentifizierung mit X.509 v3-Zertifikaten, falls der Domänencontroller nicht Windows 2000 Server ausführt.

Um eine Standardanmeldesitzung einzuleiten, müssen Sie dem Schlüsselverteilungscenter-Dienst (Key Distribution Center, KDC) Ihre Identität beweisen, indem Sie eine nur Ihnen und dem KDC bekannte Information angeben. Die geheime Information ist ein freigegebener Kryptografieschlüssel, der von Ihrem Kennwort abgeleitet ist. Ein geheimer freigegebener Schlüssel ist symmetrisch, d. h. derselbe Schlüssel wird zur Ver- und Entschlüsselung verwendet.

Um die Anmeldung per Smartcard zu unterstützen, implementiert Windows 2000 Server eine Erweiterung eines öffentlichen Schlüssels in die erste Authentifzierungsanforderung des Kerberos-Protokolls. Im Gegensatz zur auf freigegebenen geheimen Schlüsseln basierenden Kryptografie ist die auf öffentlichen Schlüsseln basierende Kryptografie asymmetrisch, d. h. zwei unterschiedliche Schlüssel sind erforderlich, einer zum Verschlüsseln und einer zum Entschlüsseln. In Verbindung bilden die Schlüssel für diese beiden Vorgänge ein Schlüsselpaar (privater und öffentlicher Schlüssel).


Wenn eine Smartcard anstelle eines Kennwortes verwendet wird, wird ein auf der Smartcard gespeichertes Schlüsselpaar anstelle des vom Kennwort abgeleiteten, freigegebenen geheimen Schlüssels verwendet. Der private Schlüssel wird nur auf der Smartcard gespeichert. Der öffentliche Schlüssel kann für jeden zugänglich gemacht werden, mit dem Sie vertrauliche Informationen austauschen möchten.

Smartcards für VerwaltungszweckeAdministratoren benötigen Tools und Dienstprogramme, die die Verwendung alternativer Anmeldeinformationen ermöglichen, so dass sie herkömmliche Routineaufgaben mit normalen Benutzerberechtigungen und gleichzeitig auch ihre speziellen Administratorfunktionen ausführen können. Dienstprogramme wie Net.exe und Runas.exe erfüllen diesen Zweck. In Windows XP Professional wurden diese Tools für die Unterstützung von Smartcardanmeldeinformationen aufgenommen.

Kerberos Version 5-AuthentifizierungsprotokollIn Windows 2000 und Windows XP Professional können Ihre Anmeldeinformationen durch ein Kennwort, ein Kerberos-Ticket oder eine Smartcard, falls der Computer für Smartcards ausgerüstet ist, bereitgestellt werden.Das Kerberos V5-Protokoll ermöglicht die gegenseitige Authentifizierung zwischen einem Client, wie einem Benutzer, Computer oder Dienst, und einem Server. Dadurch können Server Clients selbst in den größten und komplexesten Netzwerkumgebungen effizienter authentifizieren.

Voraussetzung für KerberosDas Kerberos-Protokoll basiert auf der Voraussetzung, dass die einleitenden Transaktionen zwischen Clients und Servern in einem offenen Netzwerk stattfinden. In dieser Umgebung kann sich ein unbefugter Benutzer als Client oder als Server ausgeben, um die Kommunikation zwischen autorisierten Clients und Servern abzufangen oder zu manipulieren. Die Kerberos V5-Authentifizierung bietet unter anderem eine sichere und effiziente Authentifizierung für komplexe Netzwerke von Clients und Ressourcen.

Das Kerberos V5-Protokoll verwendet die Verschlüsselung mit geheimem Schlüssel zum Schutz der im Netzwerk weitergeleiteten Anmeldeinformationen. Auf der Empfängerseite können diese Anmeldeinformationen dann mit demselben Schlüssel entschlüsselt werden. Diese Entschlüsselung und die folgenden Schritte werden vom Kerberos-Schlüsselverteilungscenter (Key Distribution Center , KDC) ausgeführt, das sich als Teil von Active Directory auf jedem Domänencontroller befindet.

AuthentifiziererEin Authentifizierer ist eine Information, die bei jeder Generierung einen anderen Inhalt aufweist, wie z. B. einen Zeitstempel. Er wird in die verschlüsselten Anmeldeinformationen aufgenommen, um sicherzustellen, dass frühere Authentifizierungsinformationen nicht wieder verwendet werden. Ein neuer Authentifizierer wird generiert und in die verschlüsselte Antwort des KDCs an den Client zur Bestätigung aufgenommen, dass die ursprüngliche Nachricht empfangen und akzeptiert wurde. Wenn die ursprünglichen Anmeldeinformationen und der Authentifizierer akzeptiert wurden, stellt das KDC ein Ticket erteilendes Ticket (Ticket-Granting Ticket, TGT) aus, mit dem die lokale Sicherheitsautorität (Local Security Authority, LSA) Diensttickets einholt. Diese Diensttickets können dann für den Zugriff auf Netzwerkressourcen verwendet werden, ohne dass der Client während der Gültigkeitsdauer des Tickets erneut authentifiziert werden muss. Die Tickets enthalten verschlüsselte Daten zur Bestätigung Ihrer Identität für den angeforderten Dienst. Mit Ausnahme der Eingabe des ersten Kennwortes oder der Smartcardanmeldeinfomationen ist dieser Vorgang transparent.


In Abbildung 14 sehen Sie Eigenschaften der Authentifizierungsregel.

Abbildung 14 Eigenschaften der Authentifizierungsregel

Kerberos Key Distribution Center-DienstMit diesem Dienst werden in Verbindung mit dem Kerberos-Authentifizierungsprotokoll Anmeldeanforderungen an Active Directory authentifiziert.

Das Kerberos Version 5-Authentifizierungsprotokoll ist zwar der Standard in Windows 2000 Server und Windows XP Professional, doch müssen beide Netzwerkdomänencontroller und Clientcomputer Windows 2000 oder Windows XP Professional ausführen, damit die Kerberos-Authentifizierung verwendet werden kann. Alternativ wird das NTLM-Protokoll für die Authentifizierung verwendet, falls die obigen Bedingungen nicht erfüllt sind.


ZusammenfassungWindows XP ist in zwei Editions verfügbar: Windows XP Home Edition für die private Verwendung und Windows XP Professional für Unternehmen aller Größen. Die Sicherheit wurde in Windows XP insgesamt verbessert, so dass Sie mit dem Computer sicher, geschützt und vertraulich arbeiten können.

Falls Sie Windows XP Home Edition verwenden, werden Sie es schätzen, dass die Sicherheitsdienste flexibel gestaltet wurden und eine Vielzahl von Sicherheits- und Vertraulichkeitssituationen berücksichtigen, denen Sie als privater Benutzer gegenüberstehen werden. Mit Windows XP Professional auf Ihrem Computer verfügen Sie über die Sicherheitsfunktionen, die Sie für das Netzwerk und die Sicherheit im Unternehmen benötigen. Die neuen Verwaltungsfunktionen senken die IT-Kosten und räumen Ihnen mehr Zeit für den Aufbau von Diensten und Lösungen in Ihrem Unternehmen ein.


Verwandte LinksDie aktuellsten Informationen zu Windows XP erhalten Sie in der Microsoft-Website unter http://www.microsoft.com/windowsxp.


http://www.microsoft.com/windowsxp

What’s New in Security for Windows XP Professional and ... · Web viewWenn Sie beispielsweise das...

Documents

Transcript of What’s New in Security for Windows XP Professional and ... · Web viewWenn Sie beispielsweise das...